Группа российских хакеров научилась обходить многофакторную аутентификацию Google, получая доступ к Gmail-аккаунтам через специально созданные пароли для приложений.

Об этом сообщает РБК-Украина со ссылкой на профильный сайт Bleeping Computer.

Хакеры использовали продуманные схемы социальной инженерии, выдавая себя за представителей Госдепартамента США. Целью злоумышленников стали известные исследователи и критики российской власти, в том числе эксперт по российской дезинформации Киер Джайлс. Атаки происходили с апреля по начало июня 2025 года.

Киберпреступники рассылают тщательно подготовленные письма, якобы от имени сотрудника Госдепа Клоди С. Вебер, с приглашением на "приватную онлайн-встречу". Хотя письмо отправляется с обычного Gmail-аккаунта, в копии указаны настоящие адреса @state.gov, что делает сообщение визуально более правдоподобным.

Впоследствии жертву просят создать пароль для стороннего приложения и передать его "администраторам платформы". Таким образом, злоумышленники получают полный доступ к почтовому аккаунту пользователя

По данным GTIG, за атакой стоит группа, отслеживаемая как UNC6293, которая, вероятно, связана с APT29 - подразделением Службы внешней разведки РФ (СВР), также известным как Cozy Bear, Nobelium или Midnight Blizzard. Эта группа действует с 2008 года и ранее была причастна к атакам на правительственные учреждения, исследовательские центры и аналитические организации.

Инфраструктура кампании включала анонимизирующие сервисы - прокси и VPS-серверы. Помимо тем, связанных с Госдепом США, хакеры использовали приманки, связанные с Украиной и Microsoft.

Инструкция UNC6293 по созданию и передаче пароля для стороннего приложения (фото: The Citizen Lab)

Специалисты советуют пользователям, которые могут быть целью атак (включая журналистов, исследователей, правозащитников), зарегистрироваться в Программе расширенной защиты Google (Advanced Protection Program). Она полностью блокирует возможность создания пароля для конкретного приложения и повышает уровень безопасности аккаунта.

Вас может заинтересовать:

• Украина фиксирует тысячи кибератак каждый месяц по данным Минцифры
• Хакеры ГУР совершили атаку на крупнейший интернет-провайдер Сибири
• Что будет, если навсегда потерять доступ к Google-аккаунту